Şimdi yükleniyor
Bilgi Güvenliği Eğitim Nasıl Yapılır? Teknoloji , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Firewall’da Takip Edilmesi Gereken Kritik Loglar

Firewall, kurum ağının dış dünya ile arasındaki ilk ve en kritik savunma hattıdır. Ancak firewall’un etkili bir güvenlik aracı olabilmesi için, üzerinde üretilen logların düzenli takip edilmesi ve doğru yorumlanması gerekir. Bu yazıda, kurumlardaki BT Müdürleri, Güvenlik Uzmanları ve Ağ Yöneticileri için mutlaka izlenmesi gereken en önemli firewall log türlerini sade ve anlaşılır şekilde açıklıyorum.

🔐 1) Traffic Logs (Trafik Logları)

Ne işe yarar?

  • Ağdaki tüm giriş/çıkış trafiğini gösterir.
  • Hangi cihazın hangi kaynağa bağlandığını anlamayı sağlar.

Neden önemli?

  • Anormal trafik (yüksek veri çıkışı, bilinmeyen IP’ler, gece saatlerinde bağlantılar) siber saldırı göstergesi olabilir.

Kontrol edilmesi gerekenler:

  • Bilinmeyen ülkelere giden trafik
  • Ani artan bant genişliği kullanımı
  • Şüpheli portlara bağlantılar

🛑 2) Blocked / Denied Logs (Engellenen Trafik Logları)

Firewall’un en değerli loglarıdır.

Ne işe yarar?

  • Firewall’un neleri engellediğini görmenizi sağlar.
  • Saldırı girişimlerinin ilk izleri bu loglarda çıkar.

Örnek önemli göstergeler:

  • Aynı IP’den sürekli bağlantı denemesi → Brute force saldırısı
  • Tanınmayan protokol → Malware davranışı
  • İçeriden internete yasak bağlantı → Olası ihlal veya kötü amaçlı yazılım

🎯 3) IPS/IDS Logs (Saldırı Tespit/Önleme Logları)

Eğer firewall üzerinde IPS/IDS aktifse, saldırıları tespit eden en hayati loglardan biridir.

Takip edilmesi gerekenler:

  • SQL Injection denemeleri
  • XSS saldırıları
  • Port scanning / network reconnaissance
  • Signature-based saldırı tespitleri

Neden kritik?
Bu loglar olası saldırının erken aşamasını gösterir.

🔍 4) Web Filter / URL Filtering Logs

Kullanıcıların ziyaret ettiği web sitelerini ve engellenen URL’leri gösterir.

Önemli kullanım alanları:

  • Zararlı sitelere erişim denemeleri
  • Uygun olmayan içerik filtrelemesi
  • Olası phishing veya command & control bağlantıları

Özellikle dikkat:
Bilinmeyen domainlere çıkış = yüksek risk.

📦 5) Application Control Logs

Firewall artık sadece port/protokol değil uygulama bazlı kontrol de sunar (Fortigate AppControl gibi).

Takip edilmesi gerekenler:

  • VPN uygulamaları
  • Proxy hizmetleri
  • TOR kullanımı
  • Bulut paylaşım servisleri (Dropbox, Mega, WeTransfer)
  • Oyun/Streaming uygulamaları

Neden önemli?
Uygulama tabanlı riskleri görünür kılar ve veri sızıntısını tespit etmeyi kolaylaştırır.

🔑 6) Authentication Logs (Kimlik Doğrulama Logları)

Hem firewall’ın kendi girişleri hem de VPN oturumları için kritiktir.

Nelere bakılmalı?

  • Başarısız oturum açma denemeleri
  • Çoklu yanlış parola denemesi
  • Bilinmeyen ülkelerden VPN bağlantı girişimleri
  • Aynı kullanıcının çoklu lokasyonlardan bağlanması

Olası riskler:

  • Hesap ele geçirme
  • MFA alt edilme denemeleri
  • VPN brute force saldırıları

📡 7) VPN Logs

Uzaktan bağlantıların kontrolü için kritik.

Takip edilmesi gerekenler:

  • Açılan ve kapanan VPN oturumları
  • Bağlantı süreleri
  • Kullanıcı/IP eşleşmesi
  • Coğrafi konum farklılıkları

Neden önemli?
Dış lokasyondan yapılan saldırılar genelde VPN üzerinden gelir.

🚨 8) Antivirus / Antimalware Logs (UTM Cihazlarda)

Firewall’a entegre olan UTM modüllerinde:

  • Virüs tespitleri
  • Malware engellemeleri
  • Dosya tipi kontrolleri
  • Sandbox analiz sonuçları

Bu loglar özellikle phishing saldırılarının tespitinde çok değerlidir.

🌐 9) DNS Filter Logs

DNS tabanlı saldırılar arttığı için bu loglar artık olmazsa olmaz:

Nelere bakmalı?

  • Engellenen DNS sorguları
  • Kötü amaçlı domain erişimi
  • Yeni kaydedilmiş domainlere (fresh domain) bağlantılar
  • Random domain pattern (DGA botnet)

🧱 10) Policy Change Logs (Kural Değişiklik Logları)

Firewall güvenliğinin %50’si kural mimarisine bağlıdır.

Kontrol edilmesi gerekenler:

  • Kim kural ekledi?
  • Ne zaman değiştirdi?
  • Kural genişledi mi?
  • Yeni bir “allow any” benzeri riskli kural var mı?

Değişiklik logları denetim için kritik önem taşır.

📁 11) System Logs / Resource Logs

Donanım seviyesindeki sorunları gösterir.

Örnekler:

  • CPU %100 kullanım uyarıları
  • Disk hataları
  • Arayüz düşmeleri
  • Lisans uyarıları
  • Servis restart logları

Olası kesintilerin önceden tespitini sağlar.

🌐 12) geolocation anomaly / unusual traffic patterns (FortiAnalyzer vb.)

Gelişmiş log yönetim sistemleri coğrafi ve davranışsal analiz yapar.

Kritik göstergeler:

  • Şirketin hiç iş yapmadığı ülkelere trafik
  • Gece saatlerinde outbound veri taşması
  • Normalde kullanılmayan portlarda trafik

Bu loglar siber sızıntıların en net işaretleridir.

📌 Özet

Firewall loglarının takibi sadece güvenlik için değil, güvenlik duruşunun proaktif yönetimi için de kritiktir. Düzenli log analizi:

✔ Olayları erken tespit eder
✔ Veri sızıntısını engeller
✔ Risk seviyesini düşürür
✔ Denetim ve uyumluluk süreçlerine katkı sağlar

Etiket
Yasin Yiğit

Yasin Yiğit, bilgi teknolojileri alanında çalışan ve dijital çözümler geliştiren bir BT profesyonelidir. Birçok farklı sektörlerde bilgi güvenliği, BT süreç yönetimi, envanter takibi ve dijital dönüşüm konularında uzmanlaşmıştır.

view all posts

Related Posts

Kaçırmış Olabilirsiniz